翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の宣言ポリシー AWS Organizations
宣言型ポリシーを使用すると、 AWS のサービス とその機能を一元的に設定および管理できます。これらのポリシーが継承する OUs とアカウントに与える影響は、適用する宣言ポリシーのタイプによって異なります AWS Organizations。このセクションのトピックを確認して、宣言ポリシーに関連する用語と概念を理解します。
宣言型ポリシーを使用すると、組織全体 AWS のサービス で特定の に必要な設定を一元的に宣言して適用できます。一度接続すると、サービスに新しい機能や API が追加されても、設定は常に維持されます。宣言型ポリシーは、準拠していないアクションを防止する際に使用します。例えば、組織全体の Amazon VPC リソースへのパブリックインターネットアクセスをブロックできます。
宣言型ポリシーを使用する主な利点は次のとおりです。
-
使いやすさ: AWS Organizations AWS Control Tower とコンソールでいくつかの選択を行うか AWS のサービス 、 AWS CLI & AWS SDKs を使用していくつかのコマンドを使用して、 のベースライン設定を適用できます。
-
Set once and forget: サービスが新機能や API を導入しても、 のベースライン設定 AWS のサービス は常に維持されます。 APIs ベースライン設定は、新しいアカウントが組織に追加された場合や、新しいプリンシパルやリソースが作成された場合でも維持されます。
-
透明性: アカウントステータスレポートでは、対象アカウントの宣言型ポリシーでサポートされているすべての属性の現在のステータスを確認できます。カスタマイズ可能なエラーメッセージを作成することもできるため、管理者はエンドユーザーを内部 wiki ページにリダイレクトしたり、アクションが失敗した理由をエンドユーザーが理解するのために役立つ説明メッセージを提供したりできます。
宣言型ポリシーの仕組み
宣言型ポリシーは、サービスのコントロールプレーンで適用されます。この点は、サービスコントロールポリシー (SCP) やリソースコントロールポリシー (RCP) などの認可ポリシーと大きく異なります。認可ポリシーは API へのアクセスを規制しますが、宣言型ポリシーはサービスレベルで直接適用され、インテントを持続的に適用します。これにより、サービスによって新機能や API が導入された場合でも、ベースライン設定が常に適用されます。
次の表では、この区別を説明するとともに、いくつかのユースケースを示しています。
| サービスコントロールポリシー | リソースコントロールポリシー | 宣言ポリシー | |
|---|---|---|---|
| 目的 |
プリンシパル (IAM ユーザーや IAM ロールなど) に一元的にアクセスコントロールを定義し、全体に一貫したアクセスコントロールを適用するため。 |
リソースに対して一貫したアクセスコントロールを一元的に定義し、大規模に適用するため。 |
AWS サービスのベースライン設定を一元的に定義し、大規模に適用するため。 |
| その方法は? |
API レベルでプリンシパルに対して許可されるアクセス許可の上限を制御。 |
API レベルでリソースに対して許可されるアクセス許可の上限を制御。 |
API アクションを使用 AWS のサービス せずに の必要な設定を適用します。 |
| サービスにリンクされたロールを管理しているか? | いいえ | なし | はい |
| ポリシーの例 | メンバーアカウントによる組織からの退出を拒否する |
リソースへの HTTPS 接続のみへのアクセスを制限する |
Allowed Images Settings |
宣言型ポリシーを作成してアタッチすると、組織全体に適用および強制されます。宣言型ポリシーは、組織全体、組織単位 (OU)、またはアカウントに適用できます。組織に参加するアカウントは、組織内の宣言型ポリシーを自動的に継承します。詳細については、「宣言型ポリシーの継承について」を参照してください。
有効なポリシーは、組織ルートと OU から継承されるルールのセットと、アカウントに直接アタッチされたルールのセットです。有効なポリシーは、アカウントに適用される最終的なルールセットを指定します。詳細については、「効果的な宣言ポリシーの表示」を参照してください。
宣言型ポリシーがデタッチされると、属性の状態は宣言型ポリシーがアタッチされる前の状態にロールバックされます。
トピック
